A distanza di qualche settimana dall’inizio della sospensione delle attività e della necessità di ridurre l’assembramento di persone in ufficio, è ora di iniziare a fare alcune considerazioni sullo smart working. Noi partiremo chiarendo alcuni aspetti importanti dal punto di vista che ci compete, ossia quello della sicurezza informatica e tecnologico.

1 Lo Smart Working, o lavoro agile, non è “spostare l’ufficio a casa”! Smart Working è attivare un insieme di accorgimenti che consentono alle persone di essere produttive anche da casa. Per accorgimenti intendiamo un insieme di tecnologie ma anche di metodi di lavoro che consentano di mantenere alta la produttività se non addirittura migliorarla.

2 La connettività ha un ruolo fondamentale. Le aziende che hanno investito su connettività e controllo perimetrale (firewall) sono avvantaggiate rispetto a tutti gli altri perché riescono a soddisfare il fabbisogno degli utenti remoti. Al contrario, connessioni aziendali non adeguatamente dimensionate stanno ostacolando o impedendo lo svolgimento anche di semplici operazioni.

3 VPN o desktop remoto? Per desktop remoto intendiamo la pletora di applicazioni che consentono l’accesso ad una postazione di lavoro al di fuori della rete aziendale: Team Viewer, AnyDesk, Chrome Remote Desktop, sono alcuni di questi. Per VPN si intendono le Virtual Private Network ossia un’estensione della propria rete dove i dati viaggiano in modo cifrato e confidenziale, attraverso un mezzo insicuro: internet.
Le soluzioni di condivisione desktop remoto, se da un lato risultano semplici e veloci da installare, presentano diversi svantaggi:

  1. Sono soluzioni “triangolari”, ossia c’è qualcuno che si interpone tra il nostro dispositivo e il PC in azienda.
  2. Molto spesso questi provider sono stati oggetti di data breach, ossia gli hacker hanno ottenuto accesso indisturbato a milioni di postazioni di lavoro all’insaputa degli utenti, causando danni enormi alle aziende coinvolte.
  3. Non sono GDPR compliant.
  4. Se il dispositivo dell’utente è “poco sicuro” (es. PC di casa) automaticamente si espone non solo il PC dell’azienda, ma tutta la rete aziendale!
  5. Anche se non si sta lavorando, una soluzione di desktop remoto espone ad internet e quindi a potenziali attacchi il PC e di conseguenza ancora una volta la rete aziendale, h24! Questo in gergo si dice che aumenta la superficie di attacco!
  6. Non è garantita la privacy (e quindi no GDPR compliant) in quanto in ufficio altri colleghi potrebbero visualizzare e controllare indisturbati il lavoro di altri.
  7. Il titolare non ha nessun controllo su quando e quanto gli utenti rimangono connessi.
  8. Una mancanza di energia elettrica o lo spegnimento accidentale dell’utente comporta la necessità almeno di andare a riaccendere il PC fisicamente.

Le VPN dal loro canto, non risolvono da sole a tutte le necessità, ma almeno danno il controllo all’azienda di chi può o non può entrare, di quando può entrare, e cosa può fare l’utente. Essendo perimetrali rispetto all’azienda consentono di tracciare moltissime attività degli utenti remoti garantendo la sicurezza anche fuori dall’azienda.

4 Il dispositivo utilizzato deve essere un dispositivo sicuro, quindi o è fornito dall’azienda che se ne assume la responsabilità di gestione e sicurezza attraverso opportuni strumenti e l’Amministratore di Sistema. O è un dispositivo “personale” dell’utente. In questo caso va rigorosamente richiesto che sia rispettate almeno queste condizioni:
a) che il sistema operativo sia aggiornato e Windows 10.
b) che sia installato un antivirus a pagamento.
c) che l’utente utilizzi un profilo dedicato limitato. Cosa succederebbe se il proprio figlio cancellasse inavvertitamente una mail o un documento importante?

Morale: è vero che c’è stata una reazione quasi istintiva ad una situazione di emergenza e sostanzialmente tutti hanno cercato di fare quello che potevano con i mezzi a propria disposizione in tempo zero. E’ altrettanto vero però che non tornerà tutto come prima. Alcuni utenti/aziende continueranno a utilizzare lo smart working e altri utenti si dimenticheranno di aver abilitato un’applicazione per il desktop remoto che diventerà presto obsoleta e quindi intrinsecamente un problema di sicurezza. Per questo motivo suggeriamo ad ogni realtà di iniziare un percorso consapevole che li porti a tracciare i confini dei propri dati e a pensare, o ripensare, la propria infrastruttura, per evitare inutili rischi ed essere subito pronti a partire. Per far questo vi aiuteremo noi!